SOMMARIO 1. Scopo 2. Applicabilità 3. Termini e Definizioni 4. Riferimenti 5. Responsabilità ed Aggiornamento 6. Modalità operative N Rev. Data Approv. 1 26.11.08 2 29.10.09 REVISIONI DESCRIZIONE N N Paragr. Pagina Rinomina azione 6.8 in 6.11 6.11 7 6.8 6 Inserimento nuove azioni 6.9 7 6.10 7 Modifica complessiva azione 6.1 6.1 2 Modifica processo attribuzione e aggiornamento 6.2.3 password 6.2.4 3 Modifica processo attribuzione e aggiornamento 6.7.3. password 6.7.4 6 3 11.10.10 Revisione completa procedura tutti tutti Ampliamento Riferimenti 4 2 Inserimento possibilità di back-up su hard disk esterno 6.8.1 7 4 15.09.11 Soppressione del M 01.02 a seguito dell emissione del M 01.04 6.4.4 4 Eliminazione procedura di System State Back up 6.0 3 5 27.03.12 Dettaglio caratteristiche username e password 6.4.4 6.4.5 4 6 10.10.13 Inserimento abilitazione connessione VPN telelavoro 6.4.1 4 7 05.07.17 Aggiornamento riferimenti normativi Aggiornamento procedura di Backup dei dati Inserimento Policy Aziendale 4 6.1 6.12 2 3 8 Verifica e Approvazione Emissione: Gestore Qualità Pag. 1 di 8
1. Scopo La presente istruzione per illustrare le modalità di gestione dei documenti informatici in cooperativa e delle procedure adottate per il rispetto della normativa sulla Privacy. 2. Applicabilità L applicazione di questa I.O. è relativa a tutti i gli applicativi e documenti informatici gestiti in cooperativa anche in ambito di conformità agli obblighi di legge in materia di Privacy 3. Termini e Definizioni I termini usati si riferiscono alla terminologia comune usata nel linguaggio informatico. Altri termini o definizioni riguardano la norma UNI EN ISO 9000:2005 4. Riferimenti I contenuti di questa procedura si riferiscono a: - norma UNI EN ISO 9001:2015 - normativa vigente - Documento Programmatico della Sicurezza dei dati emesso annualmente. 5. Responsabilità ed Aggiornamento La responsabilità di aggiornamento della presente è del GQ. Le responsabilità operative sono indicate in seguito 6. Modalità operative Pag. 2 di 8
6.1 Procedura di Backup dei dati. 1 Sistema predisposto dall AdS 2 Sistema predisposto dall AdS 3 Sistema predisposto dall AdS 4 Sistema predisposto dall AdS Backup quotidiano notturno completo/incrementale dei server su 2 unità di rete NAS alternate. Invio di notifica via mail all AdS dell esito del backup Backup incrementale quotidiano diurno del fileserver su unità di rete NAS. Il sistema salva la struttura di cartelle condivise 3 volte al giorno (ogni 150 minuti). Invio di notifica via mail all AdS dell esito del backup 6.2 Procedura di ripristino della disponibilità dei singoli dati 1 Soggetto autorizzato all accesso alla rete aziendale 2 Soggetto autorizzato all accesso alla rete Verifica la perdita di dati all interno di una banca dati Richiede all Amministratore di Sistema il ripristino della disponibilità dei dati aziendale 3 AdS Ripristina la disponibilità dei dati attraverso i supporti di back-up Comunica l impossibilità di ripristinare i dati 6.3 Procedura di ripristino della disponibilità del sistema (Disaster recovery) 1 Soggetto autorizzato all accesso alla rete aziendale 2 Soggetto autorizzato all accesso alla rete Verifica la indisponibilità del sistema Richiede all Amministratore di Sistema il ripristino del sistema aziendale 3 AdS Ripristina la disponibilità dei dati attraverso i supporti di back-up Comunica l impossibilità di ripristinare il sistema Pag. 3 di 8
6.4 Autentificazione degli utenti per l accesso alla rete aziendale 1 RAC o Coordinatore Richiede alla Direzione autorizzazione di ingresso nella piattaforma per i programmi desiderati o abilitati vista la mansione ed eventualmente l abilitazione della connessione VPN e alla rete WIFI FRASSATI 2 Direzione Autorizza l ingresso in piattaforma, stabilisce l ambito di accesso vista la mansione svolta e dà mandato all Amministratore di Sistema attraverso la segreteria 3 Segreteria Contatta l Amministratore di Sistema 4 Amministrator e di Sistema Assegna lo User Id (iniziale nome e cognome) e la password monouso all interessato 5 User Sceglie ed inserisce la password personale (minimo 8 caratteri e requisiti di complessità) e la aggiorna nella tempistica definita dalla Cooperativa (durata massima della password imposta dal sistema: 90 giorni) 6 Segreteria Archivia copia del Pag. 4 di 8 Autorizza l ingresso in piattaform a Elenco User Id gestito dall Amministratore di Sistema 6.5 Identificazione degli utenti di posta elettronica 1 Direzione Pianifica l attribuzione degli indirizzi di posta elettronica aziendali (settore/ufficio) o nominativi (nome addetto) 2 Direzione Dà mandato all Amministratore di Sistema di rendere esecutivi 3 RAC o Coordinatore gli indirizzi di posta elettronica Richiede alla Direzione la dotazione di un indirizzo e-mail 4 Direzione Autorizza e dà mandato all Amministratore di Sistema attraverso la segreteria 5 Segreteria Contatta l Amministratore di 6 Amministratore di Sistema Sistema Assegna l indirizzo e-mail all interessato 7 Segreteria Archivia copia del Autorizza
6.6 Richiesta modifica di software dedicato/applicativi specifici: segreteria, paghe e contabilità 1 Interessato 2. coordinatore dell ufficio Richiede al coordinatore dell ufficio la modifica e/o personalizzazione e/o aggiornamento del software utilizzato per lo svolgimento della mansione (segreteria, paghe, contabilità) Valuta la richiesta del sottoposto e la sottopone alla Direzione Direzione Valuta la richiesta e autorizza 3 Coordinatore Contatta il fornitore per dare il via 4 al Si accerta che il fornitore abbia 5 Coordinatore inteso correttamente la modifica da effettuare Opera sull applicativo ed 6 Fornitore effettua la modifica Richiede ulteriori informazioni autorizza autorizza 6.7 Richiesta, verifica e Approvazione e rilascio di applicativi e/o modifiche piattaforme 1 Interessato 2. coordinatore dell ufficio Chiede al coordinatore l approvazione e rilascio di applicativi e/o modifiche della piattaforma a cui ha accesso Valuta la richiesta del sottoposto e la sottopone alla Direzione 3 Direzione Valuta la richiesta e richiede al fornitore (tramite l Amministratore di Sistema) un preventivo economico per l acquisto del prodotto/i 4 Fornitore Fornisce i preventivi alla direzione Autorizza l acquisto del prodotto/i e 5 Direzione delle relative licenze e la loro installazione Richiede ulteriori informazioni autorizza autorizza autorizza Pag. 5 di 8
6.8. Servizi. Gestione dei computer che contengono banche dati. 1 Coordinatore Richiede all Amministratore di Sistema la configurazione di un computer all interno di un servizio 2 Amministratore del Sistema 3 Coordinatore / RAC 4 Amministratore del Sistema Installa e configura sistema operativo, applicativi, antivirus e firewall Definisce livelli di accesso e autorizzazione degli operatori incaricati Predispone gli User Id per gli incaricati e struttura il loro profilo utente come richiesto dal Coordinatore 5 Incaricato Sceglie ed inserisce la password personale e la aggiorna nella tempistica definita dalla Cooperativa (durata massima della password imposta dal sistema: 90 giorni) 6 R.A.C / Coord Richiede all Amministratore di Sistema che una o più unità del personale abbiano l accesso al computer come Utente con permessi 7 Utente con permessi 8 Utente con permessi 9 Utente con permessi Su richiesta del Coordinatore modifica i livelli di accesso degli incaricati e/o inserisce nuovi User ID Può installare programmi provvisti di regolare licenza deve modificare impostazioni di antivirus e firewall Nessuna unità del personale viene designato come Utente con permessi Attività svolta dall Amministratore di Sistema M 01.05 assegnazioni presso i servizi M 01.05 assegnazioni presso i servizi M 01.05 assegnazioni presso i servizi Pag. 6 di 8
6.8.1. Servizi. Gestione dei computer che contengono banche dati. Procedure di backup 1 Coordinatore Definisce un soggetto incaricato al M 01.05 backup della cartella condivisa assegnazioni contenente banche dati presso i servizi 2 Soggetto incaricato Esegue periodicamente il back up della cartella condivisa su CD/DVD o hard disk esterno (almeno una volta al mese). I CD/DVD (o le cartelle di backup sull hard disk esterno) devono essere conservati per almeno 3 mesi in apposito contenitore in armadio chiuso a chiave. Trascorsi 3 mesi i CD/DVD devono essere distrutti e le cartelle di backup sull hard disk devono essere eliminate. 6.8.2. Servizi. Aggiornamento antivirus, firewall e sistemi operativi 1 Amministra tore di Sistema Predispone il computer con collegamento ad internet affinché effettui automaticamente gli aggiornamenti Nel caso di computer non collegato ad internet, periodicamente (frequenza minima: 1 anno) distribuisce all Utente con permessi gli aggiornamenti o si reca nel servizio per effettuare gli aggiornamenti 6.8.3. Servizi. Utilizzo di computer aziendali da parte degli utenti. Laddove sia necessario/opportuno che utenti del servizio utilizzino i computer sarà compito del RAC / Coordinatore e/o degli operatori che utilizzano i computer attenersi alle seguenti indicazioni: 6.8.3.1. Accesso a computer senza collegamento web Laddove possibile mettere a disposizione degli utenti solo computer all interno dei quali non siano conservate banche dati. Qualora non sia possibile e, di conseguenza, gli utenti utilizzano computer all interno dei quali sono conservate banche dati aziendali, sul computer viene predisposto un profilo utente con accesso limitato (non può accedere alle cartelle che contengono banche dati e non ha alcuna autorizzazione a installare o disinstallare programmi). 6.8.3.2. Accesso al computer con collegamento web Sono possibili 3 soluzioni: 1. l utente accede e utilizza il computer sotto la sorveglianza diretta e continuativa dell operatore che effettua il login. L operatore è responsabile unico e diretto dell uso fatto del servizio di Internet, civilmente e penalmente a norma di legge vigente. Pag. 7 di 8
2. Redazione di un regolamento controfirmato dall utente (dal genitore/tutore se minorenne). Per ogni utente sul computer viene predisposto un profilo utente individuale tramite attribuzione di user ID e prima password in modo che rimanga traccia (e quindi responsabilità) di ogni accesso al web. 3. Viene disposto sul computer un generico accesso utente limitato. Il servizio si dota di un regolamento, di una procedura e di una apposita modulistica per registrare ogni accesso a internet degli utenti. La redazione del regolamento, delle procedure e dei moduli necessari per la soluzione 2 e la soluzione 3 devono essere concordate con il Servizio privacy della Cooperativa. 6.9 Gestione TLQ REMOTE BANKING 1 Coordinatore Autorizza l ingresso in piattaforma e stabilisce l ambito di accesso in riferimento alla mansione svolta 2 Direzione Firma distinte preparate e le trasmette telematicamente alla 3 Direzione Contabilità Paghe banca Accedono al programma inserendo user id e password personale 6.10 Identificazione degli utenti all uso dell applicazione specifico della contabilità 1 Contabilità / Paghe I coordinatori preparano i pagamenti vari e stampano i movimenti bancari 2 Interessato Sceglie ed inserisce la password 3 Coordinatore Conosce la password come super utente per manutenzione programma 6.11 Interrogazione Programma REMOTE BANKING C/C POSTALE 1 Contabilità Il coordinatore accede al programma inserendo user id e password personale 2 Contabilità Stampa le movimentazioni del c/c postale 6.12 Privacy (D. Lgs 196/03) S rimanda a: - Documento Programmatico Sulla Sicurezza emesso annualmente. L aggiornamento è registrato nella relazione del Consiglio di Amministrazione di accompagnamento al Bilancio di Esercizio. - Policy Aziendale (Disciplinare interno ai sensi del Provvedimento Garante n. 13/07) Pag. 8 di 8